پشت نقاب‌های دیجیتال: گزارشی از حملات سایبری از طریق جعل هویت

این اپیزود در اردیبهشت ۱۴۰۴ منتشر شده است. ششمین قسمت از فصل سوم پادکست «لایه هفتم» به بررسی جعل هویت دیجیتال به عنوان یکی از رایج‌ترین روش‌های حمله سایبری در ایران می‌پردازد. در این اپیزود روایت‌هایی از قربانیان، تحلیل الگوهای حمله، و راهکارهای مقابله با تهدیدات دیجیتال را می‌شنوید. در ادامه، متن کامل اسکریپت این اپیزود را می‌خوانید.

مهمان این اپیزود: شیوا نظرآهاری- فعال حقوق زنان و هم‌بنیانگذار گروه زاگاه از لوبلیانا – اسلونی

پویش: سلام. من پویش عزیزالدین هستم، درباره تکنولوژی و حقوق بشر تحقیق می‌کنم و این اپیزود ششم از فصل سوم پادکست لایه هفتمه. لایه هفتم در پروژه فیلتربان از گروه فناوری سازمان غیرانتفاعی میان و در همکاری با رادیو فردا تولید می‌شه؛ جایی که ما درباره حقوق دیجیتال، حق دسترسی به اینترنت، و هر آنچه ساکنان ایران در دنیای دیجیتال باهاش سر و کار دارند صحبت می‌کنیم.

«مقدمه»

پویش: گاهی فقط یه کلیک کافیه برای اینکه همه‌چی به‌هم بریزه. برای اینکه کنترلتون رو از دست بدید، اکانت‌هاتون هک بشه، یا حتی ناخواسته به دیگران آسیب برسونیم. یه کلیک روی لینکی که از طرف یه دوست، یه همکار، یا یه خبرنگار معتبر براتون فرستاده شده. ظاهرش طبیعیه. لحنش صمیمیه. ولی پشتش چی خوابیده؟ شاید یه حمله امنیتی، شاید یه هکر سودجو، یا حتی کسی که فقط دنبال کنترل شماست.

این نوع حملات دیجیتال که بیشترشون در واقع از شیوه جعل هویت یا Impersonate استفاده کردن به‌خصوص علیه فعالین زن، هنرمندان، و آدم‌هایی که دیگران به هر دلیلی بهشون اعتماد دارن، در یکی دو سال اخیر خیلی زیادتر شده.

در گزارش سالانه گوگل (Mandiant 2025) هم جعل هویت یکی از روش‌های اصلی حمله‌ی گروه‌های سایبری وابسته به ایران معرفی شده که حالا بعدتر و بیشتر راجع به اون حرف میزنیم.

این شد که تصمیم گرفتم این اپیزود رو به این موضوع اختصاص بدم. قراره چند سناریوی واقعی رو باهم مرور کنیم و روایت‌هایی هم در این زمینه بشنویم.

امیدوارم این روایت‌ها کمک کنه از این به بعد، بیشتر مراقب باشیم؛ هم مراقب امنیت دیجیتال خودمون، هم روابط نزدیک و قابل اطمینانی که به مرور ساختیم. اینو هم اضافه کنم که برای حفظ امنیت و حریم خصوصی افراد، در این اپیزود نام‌ها و در برخی موارد عنوان‌های شغلی تغییر داده شده، مگر در مواردی که مصاحبه‌شوندگان با نام واقعی خودشون صحبت کرده‌اند.

بریم برای شنیدن این اپیزود:

بخش اول:الگوی اول: گوگل میت جعلی – حمله زنجیره‌ای به فعالین زن

یکی از عجیب‌ترین نمونه‌های این نوع حمله‌ها، تجربه‌ی نسترن بود؛ جایی که یه پیام ظاهراً معمولی، تبدیل شد به شروع یه زنجیره طولانی از هک و سوءاستفاده.

پویش: نسترن، یکی از فعالان حقوق زنان، مثل همیشه درگیر پیام‌ها و گفتگوهای کاری روزانه بود که پیامی از راضیه، یکی از چهره‌های شناخته‌شده جنبش زنان دریافت کرد. پیام ساده و محترمانه بود: «نسترن جان، می‌خوام نظرتو درباره‌ی این موضوع مهم بدونم. می‌تونی بیای روی گوگل میت؟»

لینک گوگل میت درست مثل همیشه به نظر می‌رسید. تصویر پروفایل هم همون عکس همیشگی راضیه بود. نسترن بی‌درنگ کلیک کرد. صفحه‌ای خالی باز شد، چند ثانیه منتظر موند، چیزی نیومد، و صفحه بسته شد. اهمیتی نداد. شاید لینک مشکل داشته. شاید فیلتر شده گوگل میت، شاید فیلترشکن کار نمیکنه، شاید باز اینترنت کند شده خیلی از این مشکلاتی که ما با شبکه در ایران داریم. یعنی میخوام اینجا اشاره کنم که در خیلی از کشورها اگر شما مشکل اینجوری پیدا کنی حالا اگر نگیم اولی نه، اما دومین چیزی که به ذهنت میرسه هک شدنه ولی در ایران اینقدر اینترنت داغونه که اصلا انتظار وصل شدن نداری که بخوای حالا فکر جای دیگه بره.

اما واقعیت این بود که همون چند ثانیه کافی بود. هکرها نه‌فقط به اکانت اینستاگرام نسترن، بلکه به حساب توییترش هم دسترسی پیدا کرده بودند، چون گذرواژه‌هاش یکی بود. حالا نسترن، بی‌آنکه بدونه، خودش شده بود ابزار حمله به دیگران.

بدتر از همه اینکه نسترن این موضوع رو با کسی در میان نگذاشت. نه تنها رمزهاش رو عوض نکرد، بلکه هیچ اخطاری هم به اطرافیانش نداد. و این یعنی دروازه‌ی حمله برای هکرها همچنان باز موند.

به مدت بیش از یک سال، اکانت‌های نسترن، بدون اینکه کسی بدونه، توسط هکرها اداره می‌شد. پیام‌های مشابه به ده‌ها فعال دیگه ارسال می‌شد؛ حتی به خود راضیه، فرستنده‌ی جعلی اولیه.

این چرخه بالاخره زمانی متوقف شد که چند نفر از قربانیان متوجه تکرار الگو شدند و با چند هِـلپ‌دِسک از جمله تیم پشتیبانی امنیت دیجیتال میان تماس گرفتند.

بررسی تیم امنیتی الگو رو آشکار کرد: جعل هویت، ارسال لینک جعلی گوگل میت، و استفاده از سکوت قربانی برای گسترش حمله.

با اطلاع‌رسانی عمومی و مستندسازی، حمله متوقف شد. اما ردپای این بی‌اعتمادی، هنوز برای خیلی‌ها باقیه. البته شخصا فکر میکنم که بد نیست این بی اعتمادی اگر به احتیاط بیشتر و ملاحظات بیشتر هنگام مراوده در فضای مجازی بی انجامه.

بخش سوم: الگوی دوم: لینک نظرسنجی اینستاگرامی – هدف اعضای جامعه‌ هنری

اما همونطور که در مقدمه گفتم تنها اکتیویست‌ها هدف حمله قرار نگرفتن. هنرمندان هم گروهی بودند که در این مدت با یک الگوی تکرار شونده مورد حمله هکرها قرار داشتند

پویش: این بار قربانی تدوینگر بود. یک پیام از یه آشنای قدیمی گرفته بود: «من تو یه مسابقه طراحی شرکت کردم، لطفاً رأی بده.» همه‌چی عادی به نظر می‌رسید، کلیک می‌کنه، صفحه‌ای باز می‌شه، بسته می‌شه. تموم.

بلافاصله، اکانت اینستاگرامش از دستش خارج می‌شه و حتی فیسبوکش که متصل بوده به اکانت اینستاگرام. نه تنها دسترسی از بین رفته بود، بلکه پست جدیدی هم روی صفحه‌اش گذاشته بودن؛ تبلیغ یه تریدر رمزارز، با هشتگ و کپشن فریبنده.

همون پیام نظرسنجی، حالا از طرف اکانت هک شده خودش، برای بقیه هم فرستاده می‌شد. و اصلا هم اینطور نیست که فکر کنید مثلا هنرمندان خیلی شناخته شده، حتی به کسانی که کمتر از سی تا فالوئر داشتن. یعنی گستره حمله، اصلاً ربطی به تعداد دنبال‌کننده نداشت. با چند نفر دیگه که صحبت کردیم، فهمیدیم همگی از بدنه‌ی حرفه‌ای جامعه هنری بودن: تدوینگر، نوازنده، گرافیست. نه لزوماً چهره‌های شناخته‌شده، ولی دقیقاً یعنی باز دوباره اینجا اعتماد دوستان که هدف قرار گرفته.

بخش چهارم: الگوی سوم، پیام با جعل هویت نشریات و سازمان‌های معتبر

مهمان: شیوا نظرآهاری

یکی دیگه از الگوهایی که تو این مدت زیاد دیده شده، مربوط به جعل هویت روزنامه‌نگارها یا اعضای سازمان‌های بین‌المللیه. فرستنده، از یه ایمیل که خیلی شبیه به ایمیل اصلی یه نشریه یا موسسه معتبره مثل یه تیک‌تنک، یا حتی یک رسانهٔ شناخته‌شده، پیام می‌فرسته. معمولاً هم سر صحبت رو با دعوت به مصاحبه یا همکاری باز می‌کنه، بعدش یه لینک می‌فرسته که با کلیک روش، طرف هک می‌شه.

این مدل حمله‌ها مخصوصاً فعالین سیاسی و اجتماعی و به‌ویژه زنانی که در حوزه‌ی برابری و حقوق بشر فعالیت می‌کنن رو هدف قرار داده.

شیوا نظرآهاری یکی از کساییه که بارها با این نوع حملات روبه‌رو شده. ازش خواستیم برامون یکی از عجیب‌ترین تجربه‌هاش رو تعریف کنه تجربه‌ای که نشون می‌ده بعضی از این حمله‌ها چقدر دقیق و حرفه‌ای طراحی می‌شن.

پویش: ببین قبل از اینکه اون تجربه خیلی عجیب و غریب رو بگی دیگه تو عادت کردی به این حملات و اینا. یه چند نمونشو تعریف کن.

شیوا: همینطوره.

خب برای منم این چند وقت اخیر به خصوص، این حملات بیشتر شده و پترن و الگویی که در واقع دنبال کردند برای اینکه بتونن حساب‌های من رو هک کنند، این بار یه مقدار متفاوت بود.

برای اینکه مثلا به عنوان خبرنگار خارجی وارد می‌شدند و ایمیل می‌فرستادن برای اینکه مثلا مصاحبه کنن.

یا اینکه یک مورد دیگه‌ای که وجود داشت که اون خیلی خیلی خطرناک بود و من واقعا نزدیک بودم به اینکه هک بشم این بود که از طرف مثلا یکی از فعالین شناخته شده‌ی زن افغانستان به من پیام دادند که مثلا با همدیگه حرف بزنیم در مورد یک سری موضوعات و اینا. که واقعا خیلی نزدیک بود برای اینکه من نمیدونستم حساب اون هک شده و از طرف حساب هک شده‌ی اون در واقع برای من این پیام فرستاده شده بود. منم خیلی شانسی متوجه شدم که این حساب دست خود این آدم نیست. در لحظه‌ی آخر واقعا.

پویش: آره اون نمونه‌ها رو گفتیم. نمونه هایی که اتفاقا زیاد هم شده. یه دونه مفصلش رو اول این اپیزود تعریف کردم. حالا به من بگو که این مورد آخری چی شده بود. این مورد آخری خیلی خیلی عجیب بود. قشنگ فکر شده بود.

شیوا: این مورد آخر هم در واقع همون به عنوان خبرنگار خارجی یک ایمیلی دریافت کردم. قبلا هم این اتفاق افتاده بود ولی خب اینقدر غیرحرفه‌ای بود زبانی که استفاده کرده بودند، که خب همون اول متوجه می‌شدی که این ایمیل فیک و واقعی نیست.

اما این بار ایمیل و زبانی که استفاده شده بود خیلی حرفه‌ای بود.

همه چی به نظر درست‌می‌اومد و خب از طرف مجله ی Miss Magazine هم بود. درخواست کرده بودن که با من در مورد مسائل حوزه زنان و به خصوص حوزه ی حقوق باروری مصاحبه کنن.

بعد من سرچ کردم اسم اون خبرنگار رو دیدم که بله یه همچین خبرنگاری در این مجله وجود داره و کار میکنه. خب همه چی خیلی خیلی درست به نظر میومد. حتی آدرس ایمیل هم در واقع به نظر درست میومد. حالا دو تا چیز باعث شد که من کمی شک کنم.

اول اینکه خب اولین سوالی که از خودت‌می‌پرسید که اصلا ایمیل من رو چطوری این آدم بدست آورده؟

پویش: خواستم همینو بگم برای اینکه تو کلا سه چهار ساله خیلی تمرکز کردی روی حوزه حقوق باروری دیگه همیشه فعال مستقیم این حوزه نبودی. دو سه سال خیلی تو این عرصه فوکوس کردی.

شیوا: خب همین یکی از نکاتی بود که من شک کردم که این اصلا یه ذره غیرمنطقی به نظر میرسه که از یه همچین مجله‌ای چون مجله مگزین مجله به هر حال شناخته شده ایه. چطور به من رجوع شده در این حوزه؟

این یک مورد بود. مورد دوم؛ اولین چیزی که مشخص بود توی ایمیل این بود که اسم من رو اشتباه نوشته بود. در واقع فامیلی من رو اشتباه نوشته بود.

پویش: چی نوشته بود؟

شیوا: یادم نیست الان ولی یه ذره پس و پیش نوشته بود. مثلا به جای نظرآهاری نوشته بود آذر آهاری یه همچین چیزی مثلا.

پویش: خیلی عجیبه این همه به جزئیات دقت میکنن. بعد آخر سر اسممو نوشته آذر آره.

شیوا: آره برای خود منم خیلی جالب بود. به نظرم باید توبیخ بشه (با لحن شوخی) این آدم چون همه چیش خیلی حرفه‌ای بود و زبان انگلیسی‌ای که استفاده کرده بود خیلی حرفه‌ای بود و دومین موردی که شک کردم مجله میس مگزین رو وقتی سرچ کردم دیدم که دامنه‌اش دامنه دات کام هست ولی ایمیلی که فرستاده بود از دامنه‌ی کو دات کو استفاده کرده بود. این هم یه ذره برام شک برانگیز بود.

و نکته ی خیلی عجیب‌ترش این بود که ایمیل‌ها اصولا هم ایمیل اولیه هم پیگیری‌هایی که بعدا انجام داد که خب چی شد و کی میتونیم مصاحبه کنیم، همش توی روزهای تعطیل یعنی شنبه یا یکشنبه فرستاده میشد که این خیلی عجیبه.

اساسا این طور آدم‌ها روزهای شنبه و یکشنبه کار نمیکنن و خیلی حرفه‌ای نیست که شما آخر هفته به کسی ایمیل کاری بزنی. خب این دقیقا روز اول کاری ایرانه دیگه. آدم یه ذره شک میکنه به قضیه.

پویش: ببین چی شد که مطمئن شدی دیگه برات به قطعیت رسیدی که جعلیه.

شیوا: خب این دو موردی که گفتم و اشاره کردم باعث شد شک کنم و بعد از یه گروهی از دوستان ایمیل رو فرستادم و کل مشخصاتش گروه امنیت دیجیتال میان و اونا بررسی کردن کامل و بعدش بهم اطلاع دادن که بله این ایمیل جعلی بوده ولی در عین حال خیلی خیلی حرفه‌ای و حساب شده بوده.

یعنی خیلی مشخص تارگت کرده بودند و‌ از راه خیلی درست و خیلی حرفه‌ای وارد شده بودند برای اینکه بتونن هک کنن حساب رو.

پویش: مرسی شیوا جون.

این مورد رو می‌تونید با جزئیات بیشتر در گزارش سال ۲۰۲۳ تیم امنیت دیجیتال «میان» بخونید. و خبر خوب اینکه گزارش ۲۰۲۴ هم به‌زودی منتشر می‌شه و تهدیدهای جدیدتری رو معرفی می‌کنه.

بخش پنجم: الگوی چهار و پنج

پویش: یکی دو الگوی دیگه هم هست که همچنان فعاله، هنوز قربانی می‌گیره، و خوبه که شما هم بدونید و حتماً با بقیه هم به اشتراک بذارید. آگاهی درباره‌شون می‌تونه احتمال آسیب و هک رو خیلی پایین بیاره.

الگوی چهار: یکی جعل کانال‌های تلگرامی خیرین و برخی فعالین اجتماعی:

جعل کانال‌های تلگرامی خیرین و برخی فعالین اجتماعی در این مدل، هکرها کانال‌های تلگرامی پرمخاطب بعضی‌ها که کار خیریه می‌کنند حالا شناخته‌شده‌ترین شون محسن بیات زنجانی مثلا یا اکانت‌های فعالین اجتماعی رو اینا اومدن کاملاً شبیه‌سازی کردند. با همون عکس و اسم و لحن. بعد از اون، اومدند از این کانال‌ها برای تبلیغ رمز ارز یا کلاه‌برداری مالی استفاده کردند. باز اینجا هم هدف، صرفاً مخاطب‌های زیاد نیست؛ اعتماده. خیلی وقت‌ها، دنبال‌کننده‌ها متوجه تفاوت این کانال‌ها نمیشن و کلیک میکنند و متاسفانه قربانی این جعل هویت میشن.

الگوی پنجم: پیام جعلی از طرف «متا» برای نقض قوانین:

توی الگوی آخر، قربانی‌ها پیام‌هایی دریافت می‌کنن که ظاهراً از طرف متا یا اینستاگرام فرستاده شده. متن پیام می‌گه: «شما قوانین رو نقض کردید، اگه توضیح ندید، حسابتون بسته می‌شه.» بعد یه لینک می‌دن که با کلیک روش، اکانت هک می‌شه. این حمله بیشتر متوجه فعالین زن بوده روزنامه،نگار و خیلی‌ها تا لحظه آخر هم نفهمیدن که پیام، واقعی نبوده.

کلاً هر پیامی که از طرف پلتفرم‌ها دریافت می‌کنید، مخصوصاً وقتی پای هشدار یا امنیت وسطه، باید با دقت و تردید خیلی زیادی بررسی کنید. مثلاً توی تلگرام، بارها پیش اومده که پیام‌هایی فرستاده شده با این مضمون که «کسی داره سعی می‌کنه به اکانت شما وارد بشه. برای جلوگیری، روی این لینک کلیک کنید.»
ظاهر پیام رسمی به نظر می‌رسه، ولی لینک جعلیه و همون کلیک، راه رو برای هک باز می‌کنه.

پس اگر یه همچین پیامی دریافت کردید و فکر کردید که ممکنه در حال هک شدن باشید، سریع رمز تلگرامتون رو عوض کنید ولی حتماً مطمئن بشید که پیام واقعاً از خودِ تلگرام اومده. نه یه اکانت جعلی.

توصیه‌های امنیتی و پایان‌بندی

پویش: قبل از پایان این اپیزود، چند نکته‌ی ساده ولی خیلی مهم رو مرور کنیم:

هیچ‌وقت روی لینک‌هایی که از طرف افراد ناشناس یا حتی آشنا ولی بدون توضیح دریافت می‌کنید، کلیک نکنید. قبل از هرکاری، از یه مسیر دیگه با فرستنده تماس بگیرید و مطمئن بشید خودش بوده.
از رمزهای متفاوت و قوی برای هر اکانت استفاده کنید. ترکیب حروف بزرگ، عدد و علامت‌ها کمک زیادی می‌کنه.
حتماً رمز دو مرحله‌ای رو فعال کنید. ترجیحاً با اپلیکیشن‌های مثل Authenticator یا Authy نه پیامک.
از ابزارهای مدیریت پسورد امن مثل 1Password یا Bitwarden استفاده کنید.
اگر حس کردید اکانتتون مشکوک رفتار می‌کنه، سریع اقدام کنید: رمز رو عوض کنید و به اطرافیانتون اطلاع بدید.
و مهم‌تر از همه، اگر تجربه‌ای مشابه داشتید، چه به عنوان قربانی و چه به‌عنوان کسی که تونسته ازش جلوگیری کنه، با ما به اشتراک بذارید. این اپیزود حاصل همین اشتراک‌گذاری‌هاست و ادامه‌اش هم بدون همراهی شما ممکن نیست.

برای به‌روز موندن و اطلاع در مورد انواع حملات سایبری و راهکارهای مقابله با اون ما رو در شبکه‌های اجتماعی فیلتربان واگر سوالی داشتید به آدرس ایمیل من ([email protected]) بنویسید.

ممنونم که با من همراه بودید. همینطور تشکر میکنم از تیم تک سازمان میان در گروه فیلتربان و دوستان خوبمون در رادیو فردا که امکان انتشار این پادکست رو فراهم کردند.

پس فعلا خداحافظ و یادمون نره که در دنیای امروز دسترسی به اینترنت و آگاهی از حقوق دیجیتال یک حق مسلم و پذیرفته شده است.

اینترنت ایران در هفته اول حمله اسرائیل به ایران: قطع اینترنتی سخت‌تر از آبان خونین ۱۳۹۸

اینترنت نابرابر در لباس جدید: ۹۰ اختلال شدید و بازتعریف اینترنت طبقاتی با «منطقه آزاد سایبری»

اختناق دیجیتال در بندرعباس؛ انفجار، احضار، اختلال

اختلال در اتصال، تهدید برای توسعه: تحلیل وضعیت شبکه و سیاست‌گذاری دیجیتال

پشت نقاب‌های دیجیتال: گزارشی از حملات سایبری از طریق جعل هویت

اپیزودهای دیگر پادکست لایه هفتم

اینترنت در شرایط جنگ: از قطع ارتباط تا مدیریت اخبار فضای مجازی برای کودکان

هفت خوان دسترسی به اینترنت: این قسمت افزایش قیمت